como Estrategia Nacional

M—dulo 2:
Ciberseguridad en el Marco Internacional
 Índice Pág.

Unidad 1: Iniciativas y Recomendaciones de las Naciones Unidas

(ONU). 3

Unidad 2: Inicitaticas y Recomendaciones de la Unión

Internacional de Telecomunicaciones (UIT). 5

Unidad 3: Inicitativas y Recomendaciones de la Organización

de Estados Americanos (OEA). 9

Unidad 4: Iniciativas y recomendaciones de la Organización

para la Cooperación y Desarrollo Económico (OCDE). 10

Unidad 5: Convenio de Budapest y Cooperación Internacional. 13

como Estrategia Nacional
Referencias. 15

M—dulo 2:
Ciberseguridad en el Marco Internacional

MÓDULO 2
Unidad 1: Iniciativas y recomendaciones de la Naciones Unidas (ONU).
La ONU ha tenido una participación muy activa en este ámbito, especialmente en el proceso de al-
canzar un consenso general en materia de ciberseguridad y establecer una normativa internacional
que promueva el acceso universal a las TIC y al mismo tiempo garantice la seguridad en la red y la
protección de la información.
En esta unidad nos vamos a enfocar en
el más reciente informe del Grupo de
Expertos Gubernamentales de Naciones
Unidas (UN-GGE por sus siglas en inglés)
sobre los avances en la esfera de la infor-
mación y las telecomunicaciones en el
contexto de la seguridad internacional.
El UN-GGE se conformó sobre la base de
una distribución geográfica equitativa,
con miras a promover un entendimiento
común de las amenazas reales y poten-
ciales en la esfera de la seguridad de la
información.
Las posibles medidas de cooperación para encararlas, la generación y fortalecimiento de capacidades
e inclusive normas, reglas o principios de comportamiento responsable de los Estados y medidas de
fomento de la confianza, así como lo relativo al uso de las TIC en los conflictos y como se aplica el
derecho internacional al uso de las TIC por los Estados.
como
El primer UN-GGE, compuesto Estrategia
por representantes Nacional
de 15 países, se estableció en el año 2004, pero no
logró acuerdos importantes (A/60/202).
El segundo UN-GGE se constituyó en el año 2009, emitió un reporte en el año 2010 (A/65/201), el cual
M—dulo 2:
incluía recomendaciones acerca del diálogo sobre las normas del uso de las TIC para reducir el riesgo,
protección a la infraestructura crítica, construcción de confianza, medidas de reducción de riesgos,
Ciberseguridad en el Marco Internacional
intercambio de información entre los Estados sobre marcos legislativos y medidas estratégicas.
El tercer UN-GGE emitió un reporte que fue aprobado de forma unánime por la Asamblea General
de la ONU (A/68/98/), lo cual fue considerado como un gran avance en este dominio. Este UN-GGE
acordó que:
1. Hay una necesidad de promover la estabilidad internacional, transparencia, confianza en el cibe-
respacio, y que la ONU debe seguir jugando un rol importante, especialmente promoviendo el diálo-
go entre los Estados sobre el problema de seguridad asociado, con el uso de las TIC.
2. Construir medidas de confianza, tales como comunicaciones al más alto nivel e intercambio de
información para mejorar la confianza y seguridad entre los Estados y ayudar a reducir el riesgo de
conflictos.
3. Avv construcción de capacidades es de vital importancia para mejorar la cooperación internacional
para asegurar el ciberespacio, (iv) un ciberespacio abierto y accesible es importante, lo cual propicia
el desarrollo social y económico, (v) la combinación de todos esos factores propicia un ciberespacio
más seguro, (vi) en el derecho internacional, un capítulo de la ONU aplicable al ciberespacio.
El cuarto UN-GGE, compuesto por representantes de 20 países, se constituyó en el año 2013 y generó
un reporte (A/70/174) que se centró en los siguientes aspectos:

3
 (i) Amenazas actuales y emergentes.
(ii) Normas, reglas y principios para un comportamiento responsable de los Estados.
(iii) Medidas para la construcción de confianza en el ciberespacio.
(iv) Cooperación internacional y desarrollo de capacidades.
(v) Aplicación del derecho internacional.
(vi) Recomendaciones sobre futuros retos y desafíos.
Dicho informe no sugiere ningún cambio importante con respecto a las amenazas cibernéticas, pero
sí indica que los incidentes están aumentando de forma dramática, lo cual genera un mayor riesgo
para los Estados. Asimismo, el informe pone especial atención a los ataques cibernéticos que involu-
cran sistemas de infraestructura crítica, los cuales se han convertido en un objetivo recurrente. En re-
lación a las normas y principios de comportamiento responsable, dicho informe señala los siguientes:
Normas restrictivas:
• Los Estados no deberían permitir que sus territorios sean usados para perpetrar actos arbitra-
rios usando las TIC.
• Los Estados no deberían realizar o apoyar TIC que generen daños intencionales a las infraes-
tructuras críticas.
• Los Estados deberían tomar acciones para garantizar la seguridad de la cadena de suministros
y deben tratar de evitar la proliferación de las TIC maliciosas y el uso de funciones ocultas y
perjudiciales.
• Los Estados no deberían realizar o apoyar actividades que dañen los sistemas de información
de los CERT o CSIRTcomo Estrategia
de otros Estados y no deberíanNacional
de usar sus propios equipos para activida-
des maliciosas fuera de sus fronteras.
• Los Estados deberían respetar las resoluciones de la ONU, que estén ligadas a los derechos
humanos en el Internet y el derecho a la privacidad en la era digital.

Buenas prácticas:
M—dulo 2:
Ciberseguridad en el Marco Internacional
• Los Estados deberían cooperar para incrementar la estabilidad, seguridad en el uso de las TIC
y prevenir prácticas perjudiciales.
• Los Estados deberían considerar toda información relevante en los incidentes que involucren
las TIC.
• Los Estados deberían considerar cual es la mejor forma de cooperar para compartir informa-
ción, para asistir a otros Estados y para enjuiciar el uso de las TIC con fines terroristas y crimi-
nales.
• Los Estados deberían tomar las medidas pertinentes para proteger sus infraestructuras críti-
cas.
• Los Estados deberían responder a solicitudes de asistencia de otros Estados cuya infraestruc-
tura crítica está siendo atacada por TIC maliciosos.
• Los Estados deberían fomentar la denuncia responsable de las vulnerabilidades de las TIC y
deberían compartir las soluciones para las mismas.

Las normas acordadas en el informe son vistas como un gran avance para la diplomacia cibernética
de los Estados Unidos, ya que tres de los principios que dicho país ha promovido fueron adoptados
en el informe final (los relativos a la cooperación internacional para combatir el cibercrimen, y las
actividades de protección de la infraestructura crítica y los CERT / CSIRT).

4
Dicho informe recomienda una lista de normas, de acatamiento voluntario, para la construcción de
confianza y que en gran medida corresponden a las disposiciones adoptadas por la Organización para
la Seguridad y la Cooperación en Europa (OSCE por sus siglas en inglés) en 2013. La principal diferen-
cia radica en que este informe no establece o propone canales concretos de cooperación.
En el contexto del derecho internacional, este informe se basa en gran medida en el informe del año
2013, tomando como punto de partida la afirmación de que el derecho internacional también aplica
al uso de las TIC. Asimismo, este informe sostiene que la soberanía del Estado y los principios relacio-
nados aplican a la conducta del Estado en las actividades relacionadas a las TIC y que los Estados go-
zan de jurisdicción sobre la infraestructura de TIC dentro de su territorio. Las referencias a las normas
de derechos humanos no son nuevas, ni tampoco las menciones a los actos ilícitos, representantes y
los actores no-estatales. Sin embargo, algunos aportes han sido incluidos en este informe.
En el módulo anterior analizamos lo acontecido en la última sesión del GGE en el 2017. Recomenda-
mos estar pendientes de los avances en este tema y cuál es la postura que adoptarán países como
Estados Unidos, Rusia, Reino Unido, China, entre otros.

Unidad 2: Iniciativas y recomendaciones de la Unión Internacional de Teleco-

municaciones (UIT).
La UIT también tiene una larga trayectoria en el ámbito de la ci-
berseguridad, ha venido jugando un rol muy importante, princi-
palmente con la guía y lineamientos de la Cumbre Mundial sobre
Sociedad de la Información (WSIS por sus siglas en inglés) y la
Conferencia de Plenipotenciarios de la UIT, en la construcción de
seguridad y confianza en el uso de las TIC.
como Estrategia Nacional
En el seno de la WSIS, representantes de los Estados miembros y
líderes mundiales reconocieron los riesgos que conlleva el ciber-

M—dulo 2:
crimen y encomendaron a la UIT la tarea de facilitador del “Action
Line C5” (construir confianza y seguridad en el uso de las TIC).

Ciberseguridad
En en
respuesta a dicho mandato, la Secretaria el
GeneralMarco
de la UIT lan-
zó la Agenda Global de Ciberseguridad (GCA, por sus siglas en
Internacional
inglés) en el año 2007, como un acuerdo marco para la coopera-
ción internacional en este campo. La GCA fue diseñada para la
cooperación y eficiencia, la cual pretende promover la colabora-
ción entre todos los socios y construir acuerdos sobre iniciativas existentes para evitar duplicidad de
esfuerzos. La protección infantil en línea es uno de los temas más relevantes en la agenda, el cual
requiere soluciones globales.
La GCA está basada en cinco áreas de trabajo claves:
1- Medidas legales: Es una medida del número de instituciones legales y del marco regulatorio. El
índice se compone de legislación criminal, regulación y cumplimiento.
2- Medidas y procedimientos técnicos: Enfocadas en medidas claves para manejar las vulnerabilida-
des en programas informáticos, incluyendo esquemas de acreditación, protocolos y estándares. El
índice se compone de existencia de CSIRT, desarrollo de estándares y certificaciones.
3- Estructuras organizacionales: Es una medida de estrategias de coordinación a nivel nacional. El ín-
dice se compone de desarrollo de políticas de ciberseguridad nacionales, existencia de mapas (road-
maps for governance) de ciberseguridad, agencias especializadas y rendición de cuentas.

5
4- Capacitación: La cual busca elaborar estrategias y mecanismos de construcción de capacidades
con el fin de crear conciencia, transferir conocimiento y promover el tema de ciberseguridad en las
agendas de política pública. El índice se compone de nivel de estandarización, promoción de conoci-
miento, certificación y agencias de certificación.
5- Cooperación: El cual busca desarrollar una estrategia de diálogo y coordinación internacional para
manejar los ataques cibernéticos. Cooperación entre todos los sectores y disciplinas, nacionales e in-
ternacionales. El índice se compone de cooperación entre agencias y relación sector público-privado.
En el marco de la GCA, como parte de los esfuerzos des-
plegados para lograr la coordinación y cooperación internacional
en materia de ciberseguridad, en septiembre del año 2008 la UIT
suscribió un memorándum de entendimiento con la Alianza Mul-
tilateral Internacional contra las Ciberamenazas (IMPACT), me-
diante el cual unos 152 países han recibido ayuda para evaluar
su nivel de preparación en el ámbito de la ciberseguridad y sus
capacidades de respuesta, entre ellos varios países de América
Latina y el Caribe.
IMPACT es el brazo ejecutor en temas de ciberseguridad
de la UIT, reúne expertos de gobiernos, academia y el sector de
las TIC para mejorar las capacidades globales de las comunida-
des para enfrentar las amenazas cibernéticas. IMPACT tiene su
sede en Cyberjaya, Malasia.
Una de las mayores preocupaciones de la UIT es la falta de armonización entre los marcos
jurídicos y el enjuiciamiento de los delincuentes, ya que la categorización de los ciberdelitos y de
como Estrategia
otros usos indebidos del ciberespacio difieren de un país aNacional
otro. Como respuesta a esa preocupación,
la UIT en el año 2009 publicó una investigación denominada “El Ciberdelito: Guía para los países en
desarrollo”.
M—dulo 2:
La Conferencia de Plenipotenciarios (PC), Conferencia Mundial de Desarrollo de las Telecomu-
nicaciones (WTDC, por sus siglas en inglés) y la Asamblea Mundial de Estandarización de las Teleco-
Ciberseguridad en el Marco Internacional
municaciones (WTSA, por sus siglas en inglés) han adoptado varias resoluciones en el campo de la
ciberseguridad:
• PC-Resolución 181 (Guadalajara, 2010) sobre la definición y terminología relacionada a la con-
fianza y seguridad en el uso de las TIC.
• PC-Resolución 130 (Busán, 2014) sobre el fortalecimiento del rol de la UIT en la creación de
confianza y seguridad en la utilización de las TIC. Puntualmente, se invitó a los Estados miem-
bros a prestar su apoyo a las iniciativas de la UIT en materia de ciberseguridad, en particular al
Índice Global de Ciberseguridad (IMC, por sus siglas en inglés) a fin de promover estrategias
gubernamentales de intercambio de información entre industrias y sectores.
• PC-Resolución 174 (Busán, 2014) sobre el rol de la UIT con respecto a la problemática de las
políticas públicas internacionales relativas al riesgo del uso legal de las TIC.
• PC-Resolución 179 (Busán, 2014) sobre el rol de la UIT en la protección infantil en línea.
• PC-Resolución 200 (Busán, 2014) se acordó “Connect 2020 Agenda” para el desarrollo global
de las telecomunicaciones y las TIC. En dicha agenda se trazaron 4 objetivos generales: creci-
miento, inclusión, sostenibilidad, innovación y colaboración.

6
 Metas y objetivos de Conectar 2020

Objetivo 3.1 Que en 2020 la preparación para la ciberseguridad haya mejorado un 40%.

Objetivo 3.2 Que en 2020 el volumen de residuos electrónicos redundantes se

haya reducido en 50% en 2020.

Objetivo 3.3 Que en 2020 las emisiones de gases de efecto invernadero generados
por el sector de las telecomunicaciones/TIC se haya reducido un 30%
por dispositivo.

El índice promedio en el GCI fue de 0.28 en el año 2014, lo cual significa que el 40% de mejora para el
año 2020 debería alcanzar un índice promedio del 0.39.
• WTDC-Resolución 45 (Dubai, 2014) mediante la cual se establecieron los mecanismos para el
mejoramiento de la cooperación en materia de ciberseguridad, incluyendo el combate contra
el correo no deseado (spam).
• WTDC-Resolución 67 (Dubai, 2014) sobre el rol de la UIT en el sector del desarrollo de las tele-
comunicaciones desde la perspectiva de la protección infantil en línea.
• WTDC-Resolución 69 como Estrategia
(Dubai, 2014) mediante la cualNacional
se acordó la creación de equipos naciona-
les de respuesta de incidentes informáticos, particularmente en los países en desarrollo y la
cooperación entre ellos.
M—dulo 2:
• WTSA-Resolución 50 (Dubai, 2012) en donde se acordó mejorar las capacidades de cibersegu-
ridad.
Ciberseguridad en
• WTSA-Resolución 52 (Dubai, 2012) en lael
cual Marco Internacional
se acordó combatir el correo no deseado (spam).
• WTSA-Resolución 58 (Dubai, 2012) en la cual se instó a la creación de equipos nacionales de
respuesta de incidentes informáticos, principalmente en países en desarrollo.

En el año 2015, la UIT, en asociación con ABI Research, publicó el “Índice Global de Ciberseguridad y
Perfiles de Ciberbienestar”, en el cual se midió el nivel de preparación y el compromiso de los países
en el ámbito de la ciberseguridad, para ello, se solicitó a los países que llenaran un formulario que
evaluaba los cinco pilares arriba indicados.
En esta investigación respondieron 105 países de los 193 miembros de la UIT. Estados Unidos ocupó
el primer lugar del ranking, seguido por Canadá (nivel 2), Australia (nivel 3), Malasia (nivel 3), Omán
(nivel 3), Nueva Zelandia (nivel 4), Brasil (nivel 5), Uruguay (nivel 8) y Colombia (nivel 9), fueron los
países de América Latina mejor calificados en el ranking.
En lo que respecta a los países de Centroamérica: Costa Rica (nivel 17) ocupa el primer lugar, seguido
de Panamá (nivel 19), El Salvador (nivel 22), Guatemala (nivel 22), Belice (nivel 23), Nicaragua (nivel
24), República Dominicana (nivel 25) y Honduras (nivel 29). Además de dicha evaluación, se hizo un
análisis de las mejores prácticas de los países líderes de cada región a los efectos de subrayar los
avances más destacados.

7
En el año 2017, la UIT publicó la segunda edición de su Índice Global de Seguridad Cibernética 2017
(GCI-2017), que mide el compromiso y nivel de madurez de ciberseguridad de los 193 estados miem-
bros de la UIT. Este Índice mide el compromiso de los países con la ciberseguridad y les ayuda a iden-
tificar las áreas de mejora. Además de mostrar el compromiso global de ciberseguridad de los 193
estados miembros, el índice también muestra la mejora y el fortalecimiento de todos los indicadores
del GCI, definidos por los cinco pilares del Programa Mundial de Seguridad Cibernética de la UIT
como son: el marco legal, técnico, organizacional y la cooperación internacional.
En el año 2018, la UIT publicó la tercera edición del “Indice Global de Ciberseguridad y Perfiles de Ci-
berbienestar”, donde respondieron 155 países de 193 países miembros y Palestina. A nivel mundial,
los países con mayor puntaución en el índice fueron Reino Unido (0.931), seguido de Estados Unidos
(0.926), Francia (0.918), Lituania (0.908) y Estonia (0.905). En el caso de América, Uruguay ocupa la
tercera posición dentro de los tres países de mayor puntuación, siendo el único de América Latina.
La UIT también ha desarrollado las siguientes recomendaciones:
• Recomendación UIT-T X.1205: “Aspectos Generales de la Ciberseguridad” en ella se expone
la clasificación de las amenazas de seguridad desde el punto de vista de una organización. Se
presentan las amenazas a la ciberseguridad, así como sus puntos débiles, incluidas las herra-
mientas más utilizadas por los piratas informáticos.
• Recomendación UIT-T X.805: En la cual se define la arquitectura de seguridad para sistemas
que proveen comunicaciones extremo a extremo, la cual permite a los operadores determinar
los puntos vulnerables en una red para darle un adecuado tratamiento.
• Recomendación UIT-T como Estrategia
X.509: La Nacional
cual fue desarrollada con el fin de proveer mecanismos de
autenticación electrónica sobre redes públicas, a través del uso de certificados y el diseño de
aplicaciones relacionadas con infraestructuras de claves públicas.

M—dulo 2:
• Recomendación UIT-T X.1500: Es una colección de estándares de agencias de gobierno e indus-
tria para asegurar una respuesta coordinada a ciberataques, lo cual viene a ser una herramien-
Ciberseguridad en el Marco Internacional
ta esencial para prevenir el contagio de ciberataques de una nación a otra. Esta recomenda-
ción fue actualizada en el 2017.
Por otro lado, el Grupo de Estudio 17 (SG17, por sus siglas en inglés) trabaja con el objetivo de crear
seguridad y confianza en el uso de las TIC y ha publicado más de setenta estándares (recomendacio-
nes ITU-T) enfocadas en temas de seguridad. El SG17 coordina todo el trabajo que esté relacionado
con temas de seguridad a través de todos los grupos de estudio de la UIT-T.
Para dar un ejemplo, SG17 está actualmente trabajando en temas, tales como administración de la
seguridad, lucha contra el correo no deseado (spam), administración de identidad, protección de
información personalmente identificable, aplicaciones de seguridad y servicios de internet de las
cosas, redes inteligentes, teléfonos inteligentes, servicios web, redes sociales, computación en la
nube, banca móvil, IPTV y tele-biométricas. En el SG17, el C4 estudia los métodos para determinar
en tiempo real la integridad de la seguridad de los servicios y sistemas, además recopila y mantiene
datos de los incidentes de seguridad relevantes.
La UIT también ha establecido alianzas de cooperación con empresas en la industria de la ciberseguri-
dad, como Symantec y Trend Micro, las cuales han acordado compartir información sobre tendencias
de las amenazas cibernéticas emergentes a nivel mundial, así como con la Oficina de las Naciones
Unidas contra la Droga y el Delito, para la creación de mecanismos de lucha contra el cibercrimen.

8
También la UIT está trabajando con el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST,
por sus siglas en inglés) para compartir prácticas óptimas sobre el desarrollo de capacidades nacio-
nales de respuesta en caso de incidentes, a través de IMPACT, con la INTERPOL, para lograr sinergias
con la comunidad internacional responsable de la observancia. Como lo indicamos anteriormente,
uno de los componentes fundamentales de la GCA es la iniciativa de Protección Infantil en línea,
creada conjuntamente con otros organismos de las Naciones Unidas y otros socios, mediante la cual
se conformó una red de colaboración internacional para la promoción de un comportamiento seguro
en línea.
Específicamente en las Américas, varios países de la región se están beneficiando de las capacidades
de la UIT en materia de ciberseguridad. Desde el año 2012, 15 países de la región, entre ellos Anguila,
Antigua y Barbuda, Barbados, Costa Rica, Dominica, República Dominicana, Granada, Ecuador, Haití,
Honduras, Panamá, Saint Kitts y Nevis, Santa Lucía, Suriname y Trinidad y Tobago. La UIT ha suscrito
memorándums de entendimiento con varios países de la región, entre ellos Barbados, Jamaica, Trini-
dad y Tobago, entre otros. Para la creación de equipos de intervención en caso de incidencias infor-
máticas. Asimismo, la UIT, en colaboración con LACNIC, celebró en Montevideo (2013) la primera fase
del ejercicio de cibersimulacro UIT-IMPACT en la región, el cual contó con la participación de expertos
de las TIC y seguridad de varios países. La segunda edición se realizó en Lima, Perú; la tercera edición
en Bogotá, Colombia; y la cuarta edición se realizó en Quito, Ecuador.

Unidad 3: Iniciativas y recomendaciones de la Organización de Estados Ame-

ricanos (OEA),
La OEA ha venido trabajando en el fortalecimiento de las capacidades de seguridad cibernética de
los Estados miembros desde inicio de la década pasada. En la Asamblea General de la OEA celebrada
en el año 2004, los países como Estrategia
que la integran Nacional
acordaron aprobar la “Estrategia Interamericana Integral
para Combatir las Amenazas a la Seguridad Cibernética”, además crearon el mandato que permite
al Comité Interamericano contra el Terrorismo (CICTE) trabajar en asuntos relacionados con dicha
M—dulo 2:
materia. Dentro del CICTE existe un programa denominada “Programa de Seguridad Cibernética”, el
cual ha apoyado la creación y fortalecimiento de los CSIRT nacionales de la región, los cuales han au-
Ciberseguridad en el Marco Internacional
mentado a 18 desde el año 2004, así como la organización de debates o sesiones con la participación
de actores relevantes en la seguridad ci-
bernética nacionales.
Quizá la mayoría de los participantes co-
nocen más de cerca las iniciativas y pro-
gramas de asistencia técnica de la OEA
en este ámbito, por lo que en esta unidad
vamos a recomendar únicamente la lectu-
ra de los siguientes documentos y algún
otro documento que se subirá en el foro
del campus virtual para ampliar sobre las
iniciativas, recomendación, reportes y
preocupación de la OEA, principal promo-
tor de la seguridad cibernética en el he-
misferio.

9
 Unidad 4: Iniciativas y recomendaciones de la Organización para la Coopera-
ción y Desarrollo Económico (OCDE).
La OCDE es un organismo de cooperación internacional, con sede en París, creado en 1960 y com-
puesto por 35 Estados miembros. Su principal objetivo es la coordinación de políticas económicas y
sociales. Actualmente, México (1994) y Chile (2010) son miembros de la OCDE, y países como Costa
Rica y Colombia se encuentran en el proceso de adhesión. Brasil es un socio importante de la organi-
zación y Perú tiene un programa específico de colaboración con la OCDE.

A pesar de que la gran mayoría de los países de la región no forman parte de la OCDE, consideramos
oportuno citar las iniciativas y recomendaciones de la OCDE en materia de ciberseguridad, son inicia-
tivas y propuestas de políticas públicas son de muy alto nivel y que definitivamente, pueden servir
de referencia para el mejoramiento de las políticas públicas y capacidades de los países de la región.
Durante los últimos años, como Estrategia
los incidentes Nacional
de seguridad digital se han incrementado generando una
serie de incertidumbres y consecuencias económicas y sociales significativas para los individuos, or-
ganizaciones públicas y privadas. Por ejemplo, la denegación de servicios, sabotaje, pérdidas finan-
M—dulo 2:
cieras, demandas judiciales, daños a la reputación, pérdida de competitividad y pérdida de confianza
de los clientes, entre otros.
Ciberseguridad
La en el Marco
OCDE ha emitido una serie de recomendaciones Internacional
en el ámbito de la seguridad de la información y
la privacidad, las cuales se han venido actualizando con el paso del tiempo. En esta unidad vamos a
estudiar las recomendaciones concernientes a la gestión del riesgo de la seguridad digital (2015); sin
embargo, invitamos revisar las recomendaciones relacionadas a la protección infantil en línea (2012)
y la protección de la infraestructura crítica de información (2008), ya que son temas medulares para
la elaboración de una estrategia nacional.
Según la OCDE, el riesgo de la seguridad digital debería ser tratado como un asunto económico más
que asunto tecnológico, hay una nueva tendencia con respecto a la definición de las estrategias o
políticas públicas de seguridad digital, pues las estrategias nacionales de ciberseguridad y ciberde-
fensa han evolucionado hacia estrategias nacionales de seguridad digital, lo cual se traduce en que
se pasó del diseño de estrategias que se centraban principalmente en objetivos de defensa nacional
y seguridad nacional (lucha contra el crimen y la delincuencia) hacia el diseño de estrategias con un
conjunto de principios que se enmarcan en la gestión de riesgos de seguridad digital, distinguiendo
los objetivos de prosperidad económica y social, así como los objetivos de defensa del país, lucha
contra el crimen y la delincuencia en el entorno digital.
En el año 2015, la OCDE emitió una serie de recomendaciones y un documento de acompañamiento
sobre la Gestión del Riesgo de la Seguridad Digital para la Prosperidad Económica y Social, los cuales
se centran en:

10
1. La implementación de un conjunto de principios en todos los niveles del gobierno y de las organi-
zaciones públicas.
2. La adopción e implementación de una estrategia nacional para la gestión de riesgos de seguridad
digital.
La OCDE resalta los siguientes ocho principios, cuatro generales (1 al 4) y cuatro operacionales (5 al
8), sobre los cuales se debería construir una política de gestión de riesgos de seguridad digital:
1. Concienciación, capacitación y empoderamiento: Las partes interesadas deben entender los
riesgos relativos a la seguridad en el entorno digital y cómo manejarlos.
2. Responsabilidad: Las partes interesadas deben asumir la responsabilidad de la gestión del ries-
go de la seguridad digital.
3. Derechos humanos y los valores fundamentales: Las partes deben gestionar los riesgos de se-
guridad digital, de manera transparente y coherente con los derechos humanos y valores fun-
damentales.
4. Cooperación: Las partes interesadas deberían cooperar, incluso a través de las fronteras.
5. Evaluación de riesgos y ciclo de tratamiento: Líderes y tomadores de decisiones deben
asegurarse de que los riesgos de seguridad digital se tratan sobre la base de la evaluación
continua del riesgo.
6. Medidas de Seguridad: Líderes y tomadores de decisiones deben asegurarse de que las medidas
de seguridad son apropiadas y que corresponden al riesgo.
7. Innovación: Líderes y tomadores de decisiones deben asegurarse de tener en cuenta la innova-
ción.
como
8. Preparación y continuidad: Estrategia
Líderes y tomadores de Nacional
decisiones deben garantizar que se adop-
ten planes relativos a la preparación frente a los riesgos de seguridad digital y a la continuidad.

M—dulo 2:
Asimismo, la OCDE sostiene que la estrategia nacional para la gestión del riesgo de la seguridad di-
gital debería ser consistente con los principios arriba indicados y crear las condiciones para que las
Ciberseguridad en el Marco Internacional
partes interesadas gestionen el riesgo de la seguridad digital de conformidad con sus actividades so-
ciales y económicas, y fomenten la confianza en el espacio digital. Esta estrategia debería de abordar
los siguientes aspectos:

• Adoptar un marco integral para la gestión de riesgos de seguridad digital.

• Establecer mecanismos de coordinación entre los actores gubernamentales para asegurar la ges-
tión de la seguridad digital.
• Asegurar el establecimiento de uno o más Equipos de Respuesta de Incidentes Informáticos
(CSIRT o CERT) a nivel nacional y propiciar la creación de CSIRT públicos y privados.
• Promover el uso de estándares internacionales y mejores prácticas sobre la gestión de riesgos de
seguridad digital, promover su desarrollo y revisión a través de procesos abiertos y transparentes
basados en el modelo de múltiples partes interesadas.
• Coordinar y promover la investigación pública y el desarrollo en la gestión del riesgo de seguridad
digital, de tal forma que promueva la innovación.
• Promover el desarrollo de profesionales calificados que puedan gestionar el riesgo de seguridad
digital. Esto conlleva programas de educación, certificaciones y capacitaciones.

11
• Adoptar e implementar un marco integral para ayudar a mitigar el cibercrimen, utilizando los
acuerdos internacionales vigentes.
• Destinar suficientes recursos económicos para una implementación efectiva de la estrategia.
• Fortalecer la cooperación internacional y asistencia mutua mediante la participación de foros re-
gionales e internacionales, así como establecer relaciones bilaterales y multilaterales para com-
partir experiencias y mejores prácticas.
• Ofrecer asistencia, soporte a otros países y establecer puntos de contacto a nivel nacional en caso
de surgir solicitudes transfronterizas relacionadas a la gestión del riesgo de seguridad digital y
resolver las mismas de forma rápida y eficiente.
• Mejorar la respuesta a amenazas domésticas y transfronterizas, incluyendo la cooperación entre
los CSIRT, ejercicios coordinados y otras herramientas de colaboración.
• Fomentar una cultura colaborativa entre los actores gubernamentales y otras partes interesadas
a los fines de gestionar mejor el riesgo a la seguridad digital.
• Identificar el impacto negativo de las políticas públicas en las actividades de otras partes intere-
sadas.
• Establecer, que sean de conocimiento público, prácticas y procedimientos para la gestión del ries-
go de seguridad digital.
• Elevar los niveles de concientización, capacidades y empoderamiento de la sociedad.
• Fomentar la participación activa de las partes interesadas en iniciativas y asociaciones, ya sea
privadas o público-privadas, formal o informales, en el plano nacional, regional e internacional a
los fines de compartir conocimientos, habilidades, experiencia y prácticas exitosas en relación a
la gestión de riesgo de seguridad digital, intercambiar información relacionada con la gestión de
como
riesgo de seguridad digital, Estrategia
anticipar Nacional
y planificar futuros desafíos y oportunidades.
• Fomentar la coordinación entre las partes interesadas para mejorar la identificación y solución de
las vulnerabilidades y amenazas, así como la mitigación del riesgo de seguridad digital.
M—dulo 2:
Un ejemplo claro es, Francia recientemente adoptó una estrategia nacional de seguridad digital basa-
da en cinco objetivos estratégicos y alrededor de la gestión de riesgos de seguridad digital. Repúbli-
Ciberseguridad en el Marco Internacional
ca Checa, Malta y Portugal son algunos de los países que publicaron sus estrategias nacionales antes
de la adopción de las presentes recomendaciones, pero en sintonía con las mismas.
En el caso de América Latina, Colombia es pionera en la implementación de la política nacional de se-
guridad digital, incorporando plenamente las recomendaciones y mejores prácticas internacionales
en gestión de riesgos de seguridad digital de la OCDE, y basada en cinco principios fundamentales:
protección de los derechos fundamentales libre expresión, derecho a la información; promoción del
desarrollo económico y social; de la ciberdefensa refiriéndose a la soberanía; la seguridad nacional
haciendo referencia a la protección del ciudadano; y la cooperación internacional. Según el señor
David Luna, Ministro de TIC de Colombia, esta política tiene como propósito lograr que el Gobierno,
las organizaciones privadas, la academia y los ciudadanos puedan contactarse con un entorno digital
confiable y seguro, que maximicen los beneficios económicos y sociales, impulsando la competitivi-
dad y la productividad en todos los sectores de la economía.
Chile podría convertirse en el segundo país de América Latina en establecer una política nacional de
ciberseguridad basada en las buenas prácticas y recomendaciones sugeridas por la OCDE. Es impor-
tante señalar que las recomendaciones de la OCDE no son vinculantes, pero la práctica les otorga una
gran fuerza moral pues representan la voluntad política de los países miembros. Hay una expectativa
que los países miembros y los no-miembros harán todo lo posible en implementarlas.

12
 Unidad 5: Convenio de Budapest y Cooperación Internacional.
La efectividad de la justicia penal es parte esencial de una estrategia nacional de ciberseguridad,
incluso es uno de los 49 indicadores que se evalúan para determinar el nivel de madurez de las capa-
cidades de seguridad cibernética de un país, según el modelo desarrollado en el Informe Ciberseguri-
dad 2016 por la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo
(BID).
Dicha efectividad incluye: investigación, fiscalización y adjudicación de los delitos en contra, por me-
dio de datos y sistemas informáticos, al igual que la obtención de evidencia electrónica relacionada
con cualquier delito para propósitos del derecho penal. Asimismo, la naturaleza transfronteriza de
los delitos cibernéticos y en particular la volatilidad de la evidencia electrónica, implica que la justicia
penal no pueda ser efectiva sin mecanismos eficientes de cooperación internacional.
Por esa razón, consideramos oportuno resaltar la importancia del Convenio sobre Ciberdelincuencia,
también conocido como “Convenio de Budapest”, como un instrumento internacional de referencia
para desarrollar la normativa penal nacional en materia de delitos informáticos, la cual, según este
tratado internacional, deberá cumplir con los siguientes requisitos:
1. Deberá ser lo suficientemente neutral desde el punto de vista tecnológico, para responder a la
evolución constante del crimen y la tecnología, a efectos de no volverse obsoleta en cuestión de
meses.
2. Las autoridades de cumplimiento y aplicación de la ley, deberán estar sujetos a salvaguardas con el
fin de garantizar y proteger los principios del Estado de Derecho y los derechos humanos.
como Estrategia Nacional
3. Deberá ser compatible o al menos armonizar, con las leyes de otros países para propiciar la coope-
ración internacional.

M—dulo 2:
Este tratado fue elaborado por el Consejo de Europa con la participación activa de países como: Ca-
nadá, Japón, Estados Unidos y Sudáfrica como estados observadores. El Convenio de Budapest fue
Ciberseguridad en el Marco Internacional
aprobado por el Comité de Ministros del Consejo de Europa en el año 2001, y finalmente entró en
vigor el 1 de julio del año 2004. En el año 2003, se adoptó un protocolo sobre xenofobia y racismo,
ejecutado a través de sistemas informativos y en el año 2012 el Comité de la Convención comenzó a
trabajar en una propuesta para darle solución al tema de acceso transfronterizo de datos en el con-
texto del cloud computing, lo cual podría resultar en otro protocolo en los próximos meses o años.
Básicamente, es el primer tratado internacional que cubre todas las áreas relevantes de la legislación
sobre ciberdelincuencia (derecho penal y derecho procesal), así como reglas de cooperación interna-
cional para que los países miembros puedan hacerle frente a esta nueva modalidad de delincuencia,
mediante la armonización de leyes nacionales y la optimización de las técnicas de investigación.
Las conductas ilícitas sancionadas por este convenio son: acceso ilegal, interceptación ilegal, ataques
a la integridad de los datos y sistemas, uso erróneo de dispositivos, falsificación informática, fraude
informático, pornografía infantil y delitos relacionados con violaciones a la propiedad intelectual.
Este tratado también sanciona a las personas jurídicas y establece disposiciones de índole procesal,
tales como órdenes para la búsqueda, captura, producción de datos o la interceptación de comunica-
ciones, así como el poder para ordenar la preservación de datos almacenados y todo lo relacionado a
los actos procesales para producir prueba y aislar todo acto de cibercrimen.

13
Desde su adopción hasta el día de hoy, el Convenio de Budapest ha alcanzado los siguientes logros:
• Vino a reforzar un proceso de reforma legislativa a nivel mundial. Al menos 120 países han
realizado reformas a sus legislaciones penales como producto de este tratado, lográndose
una armonización de las legislaciones.
• Este tratado ha tenido un alcance más allá de Europa. Más de 55 países han ratificado y suscri-
to este tratado o han sido invitados a participar en el mismo, incluyendo más de 14 países no
europeos.
• Este tratado ha servido de catalizador para la cooperación técnica.
• Los países que han implementado este tratado han mejorado las capacidades y medidas de
justicia penal.
• Este tratado es quizá uno de las mayores contribuciones del Consejo de Europa a la coopera-
ción en el tema de la gobernanza del internet.
• Los gobiernos ahora tienen la obligación de proteger a los ciudadanos a través de leyes y me-
didas de cumplimiento.
El Convenio de Budapest no es la panacea en el tema, pero es la piedra angular de los avances en ma-
teria de ciberdelincuencia, no solamente para la Unión Europea sino para los demás estados firman-
tes. Se dice que el Convenio de Budapest es un documento balanceado, juicioso y coherente, debe
considerarse preferiblemente como un todo. Este tratado internacional está abierto a la adhesión de
cualquier Estado que esté preparado para implementar sus lineamientos. Varios países del hemis-
ferio han ratificado este convenio, entre ellos Estados Unidos (2007), República Dominicana (2013),
Panamá (2014), Canadá (2015), Chile (2017), Costa Rica (2017) y algunos países como Argentina, Gua-
como
temala, Colombia, , El Salvador, Estrategia
México, Paraguay, Perú yNacional
Uruguay (actualizado al 16 de noviembre
del 2017, es posible que para inicios del 2018 Argentina y Paraguay hayan ratificado el convenio)se
encuentran en el proceso de modernización de legislación penal y/o en el proceso de discusión legis-
lativa para su ratificación.
M—dulo 2:
Desde el año 2004, la OEA, en particular la Reunión de Ministros de Justicia o de Fiscales Generales
Ciberseguridad
de las Américas (REMJA/OEA) y su Grupoen el Marco
de Trabajo Internacional
en Delito Cibernético, han instado a los Estados
miembros a implementar los preceptos y lineamientos del Convenio de Budapest, así como consi-
derar su adhesión al tratado. En cuanto a los países de nuestra región, únicamente República Domi-
nicana y Panamá se han adherido a la Convención de Budapest, lo cual significa que nuestra región
no está avanzando al mismo paso y como bloque no contamos con los mecanismos de cooperación
internacional para combatir la criminalidad informática. Dicho lo anterior, resulta primordial que to-
dos los países de la región actualicen sus legislaciones penales y sometan a discusión legislativa la
posibilidad de adherirse a la Convención de Budapest.
Para muchos países la adhesión al Convenio de Budapest representa un reto legislativo puesto que
abarca áreas sensibles que no pocas veces ha dado motivo a los dilemas sobre las libertades y el con-
trol legislativo, lo cual se traduce en atrasos en su discusión legislativa. Para otros países, el hecho
de que no participaron en el proceso de negociación del tratado es un factor determinante para no
adherirse al mismo. El hecho de que este tratado fue preparado por el Consejo de Europa y no por
la ONU es difícil de digerir para algunos países, los cuales prefieren pasar por alto los beneficios de
la cooperación internacional, los valores prácticos y legales del tratado. Mientras que para otro gru-
po de países lo anterior no represente un mayor problema, más bien consideran que la convención
ofrece un marco de cooperación para luchar en contra de los delitos cibernéticos, no ser parte del
Convenio representa un perjuicio económico y una forma de acentuar el estado de vulnerabilidad de
los mismos.

14
 Referencias.

Recomendamos revisar los siguientes enlaces para ampliar conceptos:

• Grupo de Expertos encargado de realizar un Estudio Exhaustivo sobre el Delito Cibernético.
• Entrevista al Ing. Pablo Palacios de UIT
• Resoluciones de la UIT en materia de ciberseguridad
• ITU Cyber security (ocupa traducción)
• INSIDE: ITU IMPACT
• Reportes elaborados por OEA en conjunto con socios estratégicos.
• Conferencia- Esfuerzos coordinados por la OEA en materia de ciberseguridad.
• Conferencia.- Experiencias de la OEA en el Fortalecimiento de la Seguridad Cibernética.
• Cybersecurity – Are We Ready in Latin America and the Caribbean? Celaes 2016
• Ciberseguridad: ¿estamos preparados en América y España?
• Cybersecurity webinar: Ciberseguridad un asunto de interés regional
• Misión de asistencia técnica en seguridad cibernética conclusiones y recomendaciones a Co-
lombia
como Estrategia Nacional
• Perspectivas de la OCDE sobre la Economía Digital 2017
• Declaración Ministerial sobre la Economía Digital: Innovación, Crecimiento y Prosperidad So-
cial
M—dulo 2:
• Documentos de la OCDE sobre Políticas de la Seguridad de la Información y Privacidad
Ciberseguridad en el Marco Internacional
• Recomendaciones de la OCDE sobre Protección de Infraestructuras Críticas de la Información
• OECD Cybersecurity Policy Making
• Convenio de Budapest
• Recopilación de Notas de Referencia del Convenio de Budapest
• Presentación sobre Legislación en Cibercrimen en América Latina
• Videos del Consejo de Europa sobre la Convención de Budapest y Cibercrimen

15